PfSense + Proxmox

jbarriga

Buenas tardes, te respondere a lo poco que entendi. Quieres tener las vlans admin y DMZ en tu pfsense.

1.- Debes crear 2 vlans en el puerto de tu switch donde se encuentre conectada la interfaz de tu proxmox
Vlan 11 Admin
Vlan 12 DMZ

2.- Debes configurar en tu proxmox estas 2 VLANS en la interfaz correspondiente (eth0 por lo general)
Algo asi debes agregar en /etc/network/interfaces de tu proxmox

#########Esto para la vlan Admin
auto vmbr1
iface vmbr1 inet static
        address x.x.x.x
        netmask 255.255.252.0
        bridge_ports eth0.11
        bridge_stp off
        bridge_fd 0

#####Esto para la vlan DMZ
auto vmbr2
iface vmbr2 inet static
        address x.x.x.x
        netmask 255.255.255.0
        bridge_ports eth0.12
        bridge_stp off
        bridge_fd 0

3.- Debes Asignarle otras dos interfaces virtuales a tu maquina virtual de pfsense, cuando las agregues, deberas indicar en el campo VLAN TAG el numero de vlan que hayas creado en el switch y en el proxmox. en este caso debes poner como vlan TAG 11 para la interfaz de Admin y para la DMZ 12

4.- En el pfsense ya se detectaran ambas interfaces virtuales del proxmox con su respectiva VLAN, me imagino que pfsense las puede interpretar como si fuera interfaces fisicas y no como tal VLANS. Por lo cual creo que solo debes de asignar la interfaz como si fuera fisica. En el pfsense no creo que debas crear vlans

Como conclusion: solo debes crear vlans en el switch y en el proxmox.

Espero darme a entender y que sea esto lo que necesitas.
Saludos

j.sejo1

Es un tema mas en el Proxmox que en el mismo Pfsense,

De todas maneras no dejes de tomar en cuenta estos tips:

https://doc.pfsense.org/index.php/Virtualizing_pfSense_on_Proxmox

Saludos.

pedretti-ijv

Gracias amigos por la ayuda que me han prestado, realmente no he tenido tiempo de probar pues estoy en otras labores, de seguro cuando termine me pondre en funcion de probar y ya les comentare, de antes manos muchas gracias por la ayuda.
Que la buena suerte y y dicha los acompañe a todos

pedretti-ijv

ESTUVE PROBANDO ALGUNAS DE LAS SUGERENCIA PERO DESAFORTUNADAMENTE NO OBTUVE LOS RESULTADOS DESEADOS, AHORA LES PUBLICO UN DIAGRAMA DE COMO ESTA ORGANIZADA LA RED.

CONCRETAMENTE LO QUE INTENTO ES PONER EL AD, PROXY,DNS, WEB SERVER, ETC EN UNA DMZ…LA LAN SERIA PARA LAS OFICINAS Y LAS PC ADMIN DENTRO DE UNA RED ADMIN...LA IDEA ES SEGMENTAR EL TRAFICO, SOLO CUENTO CON ESE SWITCH CAPA 2.....ALGUNA SUGERENCIA DE COMO LO PODRIA IMPLEMENTAR....

SALUDOS...

donizt

Seguro que has configurado correctamente el switch de nergear? lo digo por que el netgear es una mierda para confoiguracion el tema de las vlan, a ver si has configurado las vlan en Port PVID configuration en vez de VLAN Membership

pedretti-ijv

aqui les muestro como he configurado las vlan del switch  y mis interface en el pfsense….

NOTA: Disculpen si me he ido un poco del objetivo del foro


jbarriga

Yo no termino de entenderte, vamos por pasos
que necesitas hacer 1ro?
que es lo que ya tienes funcionando?

pedretti-ijv

Saludos pepebenz, te describo mas o menos lo que tengo y lo que quiero hacer…

basicamente cuento con servidor proxmox que tiene dos tarjetas de red y la version 4.3, en este tengo alojadas algunas maquinas virtuales que funcionan como servidores (AD windows 2012, squid, dns, web server, etc). Actualmente todos estos servidores estan en la misma subred de la LAN y conectados todos al mismo switch como se muestra en un grafico anterior.
Ahora bien, deseo separar la LAN (red de las oficinas), del los servidores, por lo que pretendo crear una DMZ con este fin, ademas quiero crear una red de aministracion donde estaran las computadoras del dpartamento de informatica, intente lo que me sugeristes sin resultados positivos. Por el momento la red no es grande y como esta es totalmente funcional, pero se prevee un aumento considerable de pc e incluso conectar nuevas maquinas que no estan en el edificio de la empresa, por lo q para que estas puedan hacer uso de los servicios publicados en la empresa tendria q usar el OpenVPN, q ese es otro asunto, porque mi ISP no me deja conectarme al repo de pfsense para poder descargar paquetes.

Espero q entiendas la idea q tengo, si se puede hacer lo mismo de otra forma igual aceptaria la sugerencia siempre y cuando cuente con los equipos necesarios o se ajusten a lo que tengo....

Saludos Reiterados

jbarriga

Crear las vlans en tu switch
VLAN 30  . admin –-- 10.30.x.x
VLAN 20    DMZ  ------ 10.20.x.x
VLAN 10  Oficinas ----- 10.10.x.x

1.- agrega la vlan 30 al puerto donde tienes tu interfaz de tu proxmox (eth1). 
enable
configure
interface 1/0/3 (suponiendo que aqui esta conectado eth1)
vlan participation include 30
vlan pvid 30
exit

2- En el proxmox, dirigete a: Datacenter -> Proxmox node -> Network -> create -> Linux bridge
Aqui ponle una ip address para tu vlan ADMIN. ejem: 10.30.0.60 y su respectiva mascara
en bridge ports deberias poner: eth1.30  (siguiendo tu diagrama de arriba que todo se maneja en eth1)

3.-  en el proxmox, vete a las configuraciones de red del LXC de pfsense y agregale una interfaz.
Name: eth2 (una que no tenga pfsense internamente)
Bridge: Eliges la interfaz que creaste en el paso 2
Ipv4: agrega una ip del segmento 10.30.x.x. 10.30.0.1 o creo que la puedes dejar en blanco y tu la asignas despues en pfsense

4.- en el pfsense vete a: interfaces -> assigments.  busca la interfaz que acabas de agregarle desde el proxmox y dale: ADD o agregar. Esto te va levantar otra interfaz como si fuera fisica, ponle de nombre ADMIN y asignale la ip del segmento 10.30.x.x. Crea las reglas correspondientes para que tenga salida a internet todo ese segmento.

5.- prueba con una PC ADMIN, cambiarle la vlan del puerto donde esta conectada. por ejemplo: si tu PC ADMIN 1 esta en el puerto 6 del switch
enable
configure
interface 1/0/6
vlan participation exclude 1 (en caso de que la vlan 1 sea tu LAN)
vlan participation include 30
vlan pvid 30
exit

revisa que tenga salida a internet y que no pueda alcanzar a los otros equipos con un ping.

Espero darme a entender un poco. Manejo proxmox pero mi pfsense es fisico. todo lo que te comento es lo que se me viene a la cabeza que pudiera servir en tu caso, no lo eh probado de esa manera al 100%

tu AD y proxy no pasan por el pfsense?
porque si no pasaran por el pfsense, pues solo sigue los mismos pasos anteriores , pero creando  la DMZ, tendrias que cambiarles la interfaz al AD y proxy por vmbr2 o vmbr3 ya con la vlan asignada.

EdIlS0N LiMa

@jbarriga https://www.youtube.com/watch?v=3l0AySgYlkg&t=380s